- Google, Mandiant e parceiros interrompem campanha de espionagem UNC2814
- O grupo usou GridTide backdoor para C2 aproveitando a API do Planilhas Google
- A operação afetou 53 organizações em 42 países desde 2023; infraestrutura e contas dos invasores desativadas
O Google derrubou com sucesso uma rede global de espionagem que visava organizações governamentais e de telecomunicações em mais de 40 países ao redor do mundo.
Em um novo relatório de pesquisa, o Google disse que seu Grupo de Inteligência de Ameaças (GTIG), juntamente com a Mandiant e outros parceiros, descobriu que um ator de ameaça ligado ao estado chinês, chamado UNC2814, estava conduzindo uma nova campanha de espionagem.
Nesta nova campanha, a equipe estava implantando um malware de back-end inédito chamado GridTide, que aproveitou a API do Planilhas Google para a infraestrutura C2. Em vez de se conectar a um servidor remoto em algum lugar para receber instruções e enviar dados, o backdoor faz solicitações HTTPS para a infraestrutura legítima do Google, misturando-a com o tráfego comercial normal e, portanto, não disparando nenhum alarme.
Confundir os atacantes
Todos os comandos são armazenados em uma célula da planilha no documento do invasor. Os operadores inserem instruções codificadas em linhas ou células específicas, e o malware as verifica, decodifica e executa regularmente.
Em alguns casos, os dados infiltrados também podem ser gravados na página; no entanto, o GTIG disse não ter visto nenhum caso de infiltração de dados.
UNC2814 é um ator de ameaças bastante conhecido, com relatos de suas atividades que datam de 2017 e possivelmente antes.
A campanha começou em 2023 e afetou pelo menos 53 organizações em 42 países. O Google suspeita que o UNC2814 exista em pelo menos 20 outros países. A América Latina, a Europa Oriental, a Rússia, a África e a maior parte do Sul da Ásia parecem ter sido atingidas. Com excepção de Portugal, a maior parte da Europa Ocidental está ilesa. Os EUA nem sequer foram tocados.
Como parte dos esforços de interrupção, o Google encerrou todos os projetos do Google Cloud controlados pelos invasores, cortando o acesso contínuo aos ambientes comprometidos pelo GridTide. Eles identificaram e desativaram todas as infraestruturas UNC2814 conhecidas, desativaram contas de invasores e revogaram o acesso às chamadas da API do Planilhas Google. Por fim, o UNC2814 lançou um conjunto de IoCs que estão vinculados à infraestrutura desde pelo menos 2023.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
